2231147

Neue Angriffsmethode auf Windows: AtomBombing

28.10.2016 | 23:45 Uhr |

Ein Sicherheitsforscher hat eine Angriffsmethode vorgestellt, die nicht auf Sicherheitslücken basiert, sondern auf dem Missbrauch eines Windows-eigenen Mechanismus. Er nennt die Attacke AtomBombing.

Der Name „AtomBombing“ klingt reißerisch, leitet sich jedoch vom Namen des als Angriffsvektor missbrauchten Windows-Mechanismus ab. Dabei handelt es sich um die so genannten „Atom Tables“, in denen Prozesse kurze Zeichenketten ablegen und untereinander austauschen können. Betroffen sollen laut dem US-Sicherheitsunternehmen enSilo alle Windows-Versionen sein. Man habe jedoch insbesondere Windows 10 untersucht. Gegen die Attacke sollen keine Sicherheits-Updates üblicher Art helfen, da die Angriffsmethode nicht auf einem Programmierfehler im Windows-Code beruhe.

Die Natur dieser Attacke soll es laut enSilo mit sich bringen, dass Antivirus-Software, Firewalls und andere Schutzmechanismen nicht davor schützen könnten. Der Angriff sei im Grunde nicht von normalen legitimen Speicheroperationen harmloser Software zu unterscheiden. Kurz gesagt muss ein Angreifer zunächst den Benutzer des attackierten Rechners dazu bringen ein schädliches Programm auszuführen, etwa einen Mail-Anhang. Dieses Programm legt dann ausführbaren Code in der Atom-Tabelle ab, in der an sich nur Daten zwischengespeichert werden sollten.

Dann wird weiterer Code in einen laufenden Prozess eines legitimen Programms (etwa Browser oder Instant Messenger) injiziert. Dieser soll das gekaperte Programm veranlassen, die vermeintlichen Daten aus der Atom-Tabelle zu lesen und als Code auszuführen. Da es sich um ein legitimes Programm handelt, das den ansonsten Verdacht erregenden, da potenziell gefährlichen Code ausführt, sollen Firewalls und andere Schutzprogramme keinen Alarm schlagen. Der Angreifer könnte nun Screenshots anfertigen, gespeicherte Passwörter auslesen und dergleichen mehr – je nach gekaperter Anwendung. Das Versenden der ausgespähten Daten übernimmt das legitime Programm, ohne dass dies auffiele.

Im Blog des Unternehmens wird der Angriff nur oberflächlich beschrieben, etwas detaillierter wird es an anderer Stelle , wo Tal Liberman den von ihm entwickelten Angriffstyp näher erläutert. Beispiel-Code hat Liberman auf GitHub bereit gestellt. Darin klingt auch ein Vorwurf an Microsoft an, der Datenaustauschmechanismus über die Atom-Tabellen sei zu simpel gestrickt. Neu an der Angriffsmethode ist, wenn überhaupt, nur der Weg über die Atom Tables. Alles andere sind Standards aus dem Arsenal fortgeschrittener Angreifer.

Wie gefährlich ist AtomBombing in der Praxis?
Um zum Erfolg zu kommen, muss ein Angreifer also zunächst den Benutzer dazu bringen ein speziell präpariertes Programm auszuführen. Dass dies nicht weiter schwer ist, zeigt herkömmliche Malware täglich tausendfach. Es ist aber auch die Stelle, an der Antivirus-Software den Angriff stoppen könnte, bevor er so richtig begonnen hat. Letztlich ist jede Programmdatei detektierbar, die Antivirushersteller müssen nur sicherstellen, dass sie keine Fehlalarme produzieren oder das System durch zu intensive Analysen ausbremsen. Sicherheitsvorkehrungen wie Whitelisting (nur explizit erlaubte Programme können gestartet werden) könnten den Angriff in der vorgestellten Form verhindern.

Der Angreifer müsste einem realistischeren Szenario also noch eine Methode hinzufügen, mit der eingeschleuster Code ausgeführt wird, ohne eine zuvor auf dem Rechner abgelegte Programmdatei starten zu müssen. Damit sind wir wieder bei herkömmlichen Sicherheitslücken à la Remote Code Execution , die man dafür nutzen könnte. Solche Lücken können jedoch durch die üblichen Sicherheits-Updates geschlossen, Exploit-Versuche durch Schutz-Software erkannt und abgeblockt werden, sofern die ausgenutzte Schwachstelle bereits bekannt ist.

Es bleibt also zunächst abzuwarten, ob sich AtomBombing als praktikable Angriffsmethode erweisen wird und ob die Behauptung, der ausgenutzte Schwachpunkt sei „unpatchable“, Bestand haben kann. Von Seiten Microsofts gibt es dazu bislang noch keine offizielle Stellungnahme. Es ist gut möglich, dass AtomBombing letztlich nur einen spöttischen Pwnie Award für den „Most Over-hyped Bug“ einfährt. So erging es in diesem Sommer der Badlock-Lücke .

0 Kommentare zu diesem Artikel
2231147